Как проверяет Центробанк (Ф. Байновский, "Риск-менеджмент", N 9-10, сентябрь-октябрь 2008 г.)

Как проверяет Центробанк

Эффективность внутреннего аудита во многом зависит от качества компьютерной обработки данных. Полноценное внедрение информационных технологий - основа для снижения аудиторского риска. В качестве примера рассмотрим аудит одного из ключевых процессов деятельности ЦБ РФ - регистрации и лицензирования банковской деятельности.

В соответствии с внутренними стандартами аудиторской деятельности каждое подразделение Банка России должно подвергаться комплексной аудиторской проверке не реже одного раза в три года. В течение года 30 территориальных учреждений ЦБ РФ потенциально могут быть проверены на предмет обеспечения безусловного соблюдения российского законодательства*(1) и внутренних инструкций Банка России по:

государственной регистрации новых и перерегистрации действующих кредитных организаций;

лицензированию банковской деятельности;

регистрации изменений в учредительных документах;

регистрации внутренних и обособленных структурных подразделений - филиалов, операционных касс, дополнительных офисов, представительств;

согласованию назначений на руководящие должности.

Согласно внутренним инструкциям и сложившейся практике на проведение комплексной проверки обычно отводится не более четырех недель, включая этапы сбора, верификации и анализа документальных свидетельств, а также оформления и согласования итогового заключения. За это время внутреннему аудитору (обычно это один человек) необходимо сделать значительный объем работы.

В частности, для формирования независимого суждения об адекватности внутреннего контроля за деятельностью по согласованию руководителей банков (филиалов) необходимо идентифицировать все подобные события за последние три года (в среднем от 50 до 100), сформировать их генеральную совокупность и определить параметры аудиторской выборки для проведения аудиторских процедур по существу.

Кроме того, при планировании временных ресурсов необходимо учитывать, что данный участок не является единственным объектом для проверки.

Планирование аудита

Для повышения качества планирования аудита используется централизованная база данных - "Электронный вариант Книги государственной регистрации кредитных организаций, реестров кредитных организаций (филиалов) и их подразделений" (КГР)*(2). В ней в онлайн режиме учитывается вся информация, связанная с регистрацией и лицензированием банковской деятельности. Это позволяет аудиторам на стадии планирования аудиторских процедур получить структурированный по видам оцениваемой деятельности список событий, произошедших за последние три года. Нужные сведения по запросу аудитора автоматически выгружаются из КГР с помощью специального программного модуля АРМ "Аудитор".*(3) Интернет-технологии позволяют получить доступ к данным с любого компьютера в Центробанке. Порядок их использования определен внутренними регламентами, которые, в свою очередь, разработаны с учетом положений Правил (стандартов) аудиторской деятельности "Аудит в условиях компьютерной обработки данных" и "Проведение аудита с помощью компьютеров". При планировании аудита основной задачей является формирование выборки тех событий, анализ которых позволит распространить полученную оценку на всю совокупность. Для этого проводится ранжирование с учетом следующих параметров:

размер и масштабы деятельности кредитной организации, а также количество и специфика инициированных ею событий, в том числе:

- вид лицензии;

- размер уставного капитала;

- количество филиалов;

- количество и структура событий, связанных с регистрацией и лицензированием. Приоритет при ранжировании отдается кредитным организациям, имеющим генеральную или валютную лицензии, больший по отношению к другим банкам региона уставный капитал и разветвленную филиальную сеть;

сложность и специфичность события для проверки (временные нормативы устанавливаются централизованно):

- регистрация кредитной организации - 8 часов на проверку одного события;

- преобразование - 8 часов;

- изменение или выдача новых лицензий - 6 часов;

- согласование новой редакции Устава - 4 часа;

- изменение уставного капитала - 2 часа;

- изменение адреса - 2 часа;

- изменение наименования - 2 часа;

- изменение состава руководителей - 1 час.

Таким образом, имея информацию о времени, отведенном на осуществление проверки, а также о количестве и структуре произошедших за анализируемый период событий, аудитор формирует ресурсо- и риск-ориентированный план проверки с применением средств АРМ "Аудитор".

Далее на основании информации из КГР составляется перечень конкретных событий по каждому из оцениваемых видов деятельности. Выборка производится с учетом предварительных расчетов и алгоритма отбора конкретных событий для проверки по существу. В примере, приведенном в табл. 1, для проверки деятельности по согласованию кандидатов на должности руководителей банков отобрано 40 событий из 64 произошедших, при этом приоритет был отдан более высоким должностям и событиям последнего года.

     Основные направления внутреннего аудита

                                                                    /------------------\

                                                                    | /------------------\

/----------------------\ /--------------\  /-----------------\      | |/-------------------\

|Валютное регулирование| |Регистрация  и|  |Денежно-кредитное|      \-||                   |

|                      | |лицензирование|  |  регулирование  |        \|                   |

\----------------------/ \--------------/  \-----------------/         \-------------------/

                            /---------------------------------------------------------\

                            |                 |                   |              /----------\

                                                                              |/-----------\

                    /---------------\  /-------------\  /---------------------\  ||/-------------\

 Тематические нап-  |Выдача и замена|  |Согласование |  |Регистрация изменений|  |||             |

 равления внутрен-  |    лицензий   |  |руководителей|  |в учредительных доку-|  \||             |

 него аудита        |               |  |             |  |ментах               |   \|             |

                    \---------------/  \-------------/  \---------------------/    \-------------/

                            /---------------------------------------------\

                            |               |              |       /---------------\

                            |               |              |       |/----------------\

                      /------------\ /------------\  /----------\  ||/------------------\

                      |Соответствие| |Соответствие|  |Соблюдение|  \||                  |

                      |образования | |    стажа   |  |  сроков  |   \|                  |

                      \------------/ \------------/  \----------/    \------------------/

                 /------------------------------------------------------------/

                 |-----------------------------------------------------------------------------------------------------\

 Параметры оценки|Оценка полноты выполнения требования                                                                 |

                 |Оценка документирования и регламентирования деятельности (должностная и технические инструкции и т.д)|

                 |Оценка контроля за исполнительской дисциплиной                                                       |

                 |Аудиторская процедура                                                                                |

                 |Пояснения, в том числе описание выявленных нарушений, недостатков, факторов риска                    |

                 |Выборка                                                                                              |

                 |Количество нарушений                                                                                 |

                 \-----------------------------------------------------------------------------------------------------/

Рис. 1 Методика внутреннего аудита в ЦБ РФ

Таблица 1. Пример выдержки из плана проверки
Наименование	Рег. N	Регистра- ция	Преобразо- вание	Измене- ние ли- цензий	Новая редак- ция Устава	Изме- нение уста- вного капи- тала	Изме- нение наи- мено- вания	Изме- нение адре- са	Прочие измене- ния Ус- тава	Изме- нения руко- водст- ва
Норматив, часы	8	8	6	4	2	2	2	1	1
Всего изменений: из них распределено	0	0	12	5	7	1	0	28	64
	0	0	2	5	0	0	0	27	40
Всего часов: из них распределено	0	0	72	20	14	2	0	28	64
	0	0	12	20	0	0	0	27	40
Выборка, %	100	100	16,67	100	0	0	100	96,43	62,5
Енисейский объединен- ный банк	2645			1*(1)	1(1)	0(2)			6(6)	8(11)
КЕДР	1574			0(1)	1(1)				6(6)	7(7)
СТРОМКОМБАНК	404			1(З)	1(1)	0(3)	0(1)		1(1)	5(5)
ЕНИСЕЙ	474			0(1)	1(1)				1(1)	4(11)
ТАЙМЫР	1334			0(4)	1(1)				5(5)	4(5)
ЯРБАНК	1483			0(2)	1(1)	0(2)				4(12)

*(1) Здесь и далее: первая цифра - количество проверяемых событий, в скобках - общее количество событий.

Электронный опросник

После отбора событий для проверки создается электронный чек-лист, включающий от трех до десяти параметров для оценки каждого события - так называемые контрольные точки. Например, для рассмотрения событий, связанных с согласованием кандидатов на руководящие должности, рассматриваются следующие параметры:

стаж - соблюдение требований законодательства в части управленческого банковского стажа кандидата;

образование - соблюдение требований законодательства в части наличия высшего экономического или юридического образования;

сроки рассмотрения - соблюдение установленных законом сроков согласования кандидата;

деловая репутация - отсутствие фактов, свидетельствующих о негативной деловой репутации;

оформление документов - соблюдение порядка оформления документов;

прочее.

При проведении проверки аудитор запрашивает исходные первичные материалы, хранящиеся в юридическом деле (архив бумажных документов), - автобиографии, копии дипломов и трудовых книжек, переписку - и анализирует, соблюдены ли требования (сопоставляет свидетельства аудита*(4) с критериями аудита). Все выявленные нарушения он фиксирует в электронном чек-листе "галочкой" (табл. 2). По окончании производится автоматическая обработка результатов, в рамках которой количество нарушений с учетом их весовых характеристик сопоставляется с общим количеством рассмотренных событий и параметров. Полученный процент отклонений сопоставляется с рекомендованной во внутрифирменном стандарте шкалой оценки, содержащей указание на уровни существенности.

Таблица 2. Пример выдержки из электронного чек-листа
Наименование кредитной организации	ФИО, должность	Параметры критериев аудита - законодательные и нормативные требования
		Стаж	Образо- вание	Сроки согла- сования	Оформление документов	Репутация	Прочее
		Коэффициент (вес) параметра для расчета степени отклонения от уровня существенности
		5	5	5	3	2	1
Банк Восток	Петров В.В. Заместитель председа- теля правления	V
	Иванов С.С. Главный бухгалтер
Банк Запад	Кузнецова А.А Председатель правле- ния		V				V
	Смирнов Д.Д. Член правления				V
...	...			V		V

Методика расчетов

Расчет осуществляется по следующему алгоритму. Сначала определяется максимально возможная сумма всех нарушений. Так, при проверке согласования руководителя по одному событию максимально можно набрать 21 балл (5 + 5 + 5 + 3 + 2 + 1). Перемножаем это число на количество проверенных событий, например на 20. Получаем сумму 420 баллов. Далее рассчитываем количество баллов по проверенным нарушениям. Например, по шести событиям было 12 нарушений на общую сумму 20 баллов. 20 делим на 420 и умножаем на 100%. Получаем - менее 5%. Таким образом, система внутреннего контроля позволяет обеспечить 95%-ю результативность, что может быть признано допустимым с учетом установленного уровня существенности (табл. 3). Полученные результаты, в том числе выявленные отклонения, аудитор согласует с объектом аудита, при необходимости запрашивая разъяснения. После процедуры согласования информация из электронного чек-листа автоматически преобразуется в текст аудиторского заключения. Так, для рассматриваемого сценария на основе занесенных в АРМ "Аудитор" данных будет сгенерирован следующий текст заключения:

"В ходе аудиторской проверки было рассмотрено 40 случаев назначения руководителей кредитных организаций из 64 (число случаев за ревизионный период), что составило 62,5%. При проверке процесса согласования кандидатур руководителей было выявлено 6 отклонений от требований законодательства и/или нормативных актов Банка России, в том числе:

по стажу - 1 отклонение;

по образованию - 1;

по срокам рассмотрения - 1;

по оформлению документов - 1;

по анализу деловой репутации - 1;

прочие - 1.

Общее количество выявленных нарушений и их вес свидетельствует о том, что система внутреннего контроля на проверенном участке адекватна целям обеспечения соблюдения законодательных и нормативных требований при осуществлении надзорной деятельности.

Информация о нарушениях в разрезе кредитных организаций приведена в Приложении ___".

Таблица 3. Пример внутрифирменной шкалы оценки эффективности
внутреннего контроля

Процент от общей суммы возможных выявленных нарушений	Эффективность внутреннего контроля
<= 7%	Допустимый уровень
> 7% и <= 20%	Недостаточный уровень
> 20%	Неадекватный уровень

Таким образом, в условиях масштаба и специфики деятельности Банка России применение внутренними аудиторами современных средств автоматизации и наличие адекватной компьютерной обработки данных позволяет обеспечить:

централизованное планирование аудиторских проверок и, как следствие, эффективное распределение ресурсов на ее проведение;

снижение временных затрат на подготовку к аудиту;

снижение аудиторских рисков, связанных с неверным определением размеров и качества выборки;

повышение эффективности обработки результатов аудита как на стадии формирования итогового отчета, так и на стадии агрегации и обработки результатов серии аудитов в ЭБД "Аудит" для целей формирования сводного обзора для руководства Банка России.

Рассмотренная модель, естественно, не является типично банковским ноу-хау. Аналогичные схемы можно применять в любой другой отрасли при наличии структурированных и актуальных данных. Например, если в базе данных учтены все договоры со всеми параметрами, аудитор может избежать утомительного перелопачивания вороха бумаг, анализируя всю информацию в автоматизированной среде, что значительно облегчает его труд, повышает его производительность и качество проведенной работы.

Одна из основных специфических особенностей профессии аудитора заключается в необходимости поддерживать качество своей работы на максимально высоком уровне от проверки к проверке, так как у слишком большого круга лиц существует соблазн подвергнуть сомнению результаты аудита. Кроме того, объемы оцениваемой информации постоянно увеличиваются. Все это стимулирует более активное использование в аудиторской практике современных средств автоматизации, позволяющих за единицу времени проанализировать многократно большие объемы информации, чем при ручной обработке данных.

 /---------------\        /---------------\       /---------------\

 |  ЭБД  |  КГР  |        |  АРМ Аудитор  |       |  ЭБД  |  КГР  |

 \---------------/        \---------------/       \---------------/

                 - - - -                  -- - -

 /-------------\

 |  Задание на |

 | аудиторскую |

 |   проверку  |

 \-------------/            /----------------------\                /---------------------\

        |                   |  Определение выборки |                |Агрегация результатов|

        |              /---|                      |-\              |     серии аудитов   |

        |              |    \----------------------/ |              \---------------------/

        |              |                                                        

        |   /-------------------------\         /-------------------------\      |

        |   | Определение генеральной |         | Учет результатов аудита |      |

        \--|     совокупности        |         |                         |------/

            \-------------------------/         \-------------------------/

Рис. 3 Схема информационного обеспечения основных этапов аудиторской проверки

Ф. Байновский*(5),

руководитель направления IT-аудита "ИТ Эксперт"

"Риск-менеджмент", N 9-10, сентябрь-октябрь 2008 г.

-------------------------------------------------------------------------

*(1) Речь идет о Федеральных законах "О банках и банковской деятельности" и "О Центральном банке РФ".

*(2) Этот информационный ресурс ведется в соответствии c требованиями Федеральных законов "О банках и банковской деятельности" и "О Центральном банке Российской Федерации". Количественные характеристики информации, хранящейся в КГР, можно проиллюстрировать общим объемом данных: около 5 гигабайт и более 1 млн единиц учета.

*(3) АРМ "Аудитор" - система, разработанная Банком России для автоматизации основных процессов внутреннего аудита: планирования ресурсов, определения выборки, учета результатов, оформления заключений. В основе технологического решения лежит использование трехзвенной архитектуры, обеспечивающей взаимосвязь всех пользователей с информационным хранилищем через веб-интерфейс.

*(4) Свидетельства аудита - документарные свидетельства, подтверждающие соблюдение установленных законом норм при выполнении функций (операций). В данном примере источником свидетельств является юридическое дело кредитной организации, в котором хранятся первичные документы (копии), полученные или выданные при осуществлении взаимодействия между территориальным учреждением Банка России и кредитной организацией по вопросам регистрации и лицензирования (заявки, лицензии, письма, учредительные документы и др.).

*(5) В период с 1997 по 2003 год Федор Байновский руководил проектами по созданию и внедрению сложных территориально-распределенных IT-систем, автоматизирующих функции Банка России по надзору и лицензированию деятельности кредитных организаций. В 2004 году воз главил вновь созданное Управление аудита информационных систем Банка России. За три года под его руководством была сформирована система информационного аудита подразделений Банка России (более 80 подразделений).